Suche
  Login
 Datenschutz-Audit

Audit für Ihren Datenschutz

Ihr Unternehmen nimmt den Datenschutz durchaus ernst und hat eventuell schon einen (internen) Datenschutzbeauftragten bestellt? Nun möchten Sie sich vergewissern, ob die von Ihnen getroffenen Maßnahmen den rechtlichen Anforderungen gerecht werden? Diese Frage kann sehr schnell aufkommen, wenn z.B. der Wirtschaftsprüfer oder der Betriebsrat eine qualifizierte Anfrage stellt.

Hier können wir Ihnen helfen. Wir analysieren im Rahmen eines 2-stündigen Interviews den Datenschutz in Ihrem Unternehmen. Ein Ergebnisbericht zeigt Ihnen übersichtlich auf, welche Schritte Sie bereits erfolgreich eingeleitet haben und welche Schritte noch einzuleiten sind.

Rechtlicher Hintergrund

"Als Audit (von lat. „Anhörung“) werden allgemein Untersuchungsverfahren bezeichnet, die dazu dienen, Prozessabläufe hinsichtlich der Erfüllung von Anforderungen und Richtlinien zu bewerten. Dies erfolgt häufig im Rahmen eines Qualitätsmanagements. Die Audits werden von einem speziell hierfür geschulten Auditor durchgeführt." [Quelle: Wikipedia]

Ein Audit über den Datenschutz gehört in die Kategorie "Complianceaudit", da die Übereinstimmung mit einem Regelwerk untersucht wird.

Das dazugehörige Regelwerk ist in aller Regel das Bundesdatenschutzgesetz; im Falle einer kirchlichen Organisation könnte dies aber auch die Katholische Anordnung zum Datenschutz (KDO) oder das Datenschutzgesetz der evangelischen Kirche Deutschland (DSG-EKD) sein.

Das Bundesdatenschutzgesetz sieht im  § 9a ein Datenschutz-Audit vor:

"Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Das Datenschutz-Audit ist eine freiwillige (!) Maßnahme, um das eigene Datenschutz-Konzept zu prüfen. Das im Gesetzestext erwähnte "besondere Gesetz" zur konkreten Regelung eines Audits befindet sich leider noch im Stadium eines stark kritisierten Referentenentwurfes. (Stand April 2008). Daher gibt es keine verbindliche Festlegung darüber, wer ein Audit durchführen darf und was es inhaltlich untersuchen soll.

Welche Voraussetzungen sollte ein Datenschutz-Auditor erfüllen?

Da das "Datenschutz-Audit Gesetz" noch nicht existiert, gibt es keine rechtsverbindliche Entscheidungsgrundlage für die Voraussetzungen eines Datenschutz-Auditors.

In Deutschland gibt es jedoch bereits ein etabliertes Audit-System, nämlich die ISO-900x. Die freie Wirtschaft selbst hat ein System und eine Organisation erarbeitet, mit dem das Merkmal "Qualität" auditiert werden kann.
Auf Basis dieses Systems schult der TÜV-Rheinland zum Datenschutz-Auditor (TÜV) und verleiht ein Zertifikat nach bestandener schriftlicher Abschlussprüfung. Diese Ausbildung ist einer der wenigen Wege, wie ein Datenschutzbeauftragter sich zum Datenschutz-Auditor weiterbilden kann.

Herr Nicholas Vollmer hat dieses TÜV-Zertifikat erhalten, wie Sie der obigen Abbildung entnehmen können. Dieses Zertifikat besagt, dass Herr Vollmer dreierlei Qualifikationen aufweist:

a) Herr Vollmer verfügt über das notwendige Wissen für einen Datenschutzbeauftragten
b) Herr Vollmer ist in der Lage ein Datenschutz-Konzept zu entwickeln und umzusetzen
c) Herr Vollmer hat die Voraussetzungen, um das Datenschutz-Konzept eines Unternehmens zu beurteilen (zu auditieren).

Wie verläuft ein Datenschutz-Audit?

Mangels "Datenschutz-Audit Gesetz" existiert keine rechtsverbindliche Angabe, wie ausführlich ein Datenschutzaudit ausfallen muss und welche Bereiche untersucht werden müssen.

Wir haben uns dazu entschieden, Ihnen eine Art "Blitz-Audit" anzubieten. Innerhalb von zwei Stunden werden alle relevanten Aspekte des Datenschutzes thematisiert. Zu diesem Zweck nutzen wir eine umfangreiche Liste von Fragen, wie beispielsweise:

  • Zum Datenschutzbeauftragten
    Besteht die Notwendigkeit eines Datenschutzbeauftragten? Ist er schriftlich bestellt worden? Wie ist die Zuverlässigkeit und die Fachkunde des Datenschutzbeauftragten zu bewerten? Existiert ein Verfahrensverzeichnis und entspricht es den gesetzlichen Anforderungen? Existiert ein Datenschutz-Management? ... 
  • Zu den Mitabeitern
    Haben die Mitarbeiter die Erklärung zum Datengeheimnis unterschrieben? Sind sie ausreichend sensibilisiert und geschult worden? Ist die private Nutzung von Internet und E-Mail geregelt? Sind eventuelle EDV-Nutzungsvereinbarungen unterschrieben? ... 
  • Zum Unternehmen
    Wie wird der Datenschutz an den jeweiligen Standorten kontrolliert? Wie werden Videoüberwachungen gehandhabt? Werden besonders sensible Daten verarbeitet? ...
  • Abschließend und ergänzend wird der Fokus auf ein spezielles Thema gerichtet; es wird also eine Art "vertiefende Stichprobe" durchgeführt. Dabei wird die Erfüllung der rechtlichen Anforderungen für das gewählte Thema überprüft.

Der im Audit festgestellte Status und die noch einzuleitenden Maßnahmen werden in einem übersichtlichen Bericht zusammengefasst.

Die Konditionen erfahren Sie in unserer Preisliste.

 
  
Copyright 2007, Nicholas Vollmer   Terms Of Use  Privacy Statement